一种基于身份的门限环签名.pdfVIP

一种基于身份的门限环签名 一种基于身份的门限环签名 孙慧慧 陈少真 郑州信息工程大学 摘要：本文提出了一种基于身份的双线性门限环签名方案，该方案较好地 满足了环签名的安全需求。矢量窒间秘密共享的应用使得方案简洁，并且较少的 双线性运算也使方案更加高效。此方案还可以解决了PKG权力过大和环签名无法 追踪签名成员的矛盾，即使PKG也不能伪造签名。 关键词：门限环签名 矢量空间秘密共享双线性对 1 引言 man…提出。作为一种特殊的数字签名，它因为签名由一定的规则组成一个环而 得名。环签名是一种没有管理者的简化的类群签名，环中任何一个成员都可以代 表整个环签名，而验证者只知道签名来自这个环，但不知道谁是真正的签名者。 环签名与群签名不同，没有群管理员，签名用户没有组织结构程序，不用协调一 致。任何用户都可以用自己的私钥和其他环中成员的公钥来形成签名而不需要其 他成员同意，其他的环成员可能完全不知道他们的公钥已经被真实签名者用于签 名。由于环签名对真实签名者而言是匿名的，因此环签名是一种以匿名方式透露 可靠消息的很好的方法。 门限签名是一种群体签名。其方法是将一个群体的签名密钥分发给群体中的 每个成员，使得任何成员个数不少于门限值的子集都可以产生签名；而任何成员 个数少于门限值的子集都无法产生签名。在门限签名方案中，门限签名是由参加 签名的各个成员所签署的部分数字签名按某种方式结合后产生的。 在某些背景下，既需要分享签名权力又需要保护签名者的真实身份，于是就 产生了门限环签名。门限环签名方案是一种结合了环签名和秘密共享技术的签名 方案，签名的权力由多个成员掌握，与单用户的签名方案相比，安全风险降低了。 ·227· 第十八届全国信息保密学术会议(IS2008)沦文集 门限环签名受到越来越多的重视，基于各种假设的门限环签名方案也不断被提出。 2002年，Bresson等人心1首次将门限机制应，啊午环签名方案，构造出门限环签名方 案BSS，并在ROM下证明方案是安全的。BSS使用了公平划分的技术，使验证者 确信几个成员中至少有t个成员签署了信息，但是并不知道是哪t个成员做了签 名。但当t相对于n较大时，BSS方案效率较低，因此陆续有其他门限签名方案被 提出‘3，4，5|。 门限环签名方案必须满足无条件匿名性和不可伪造性等安全性要求。无条件 匿名性：攻击者即使非法获取了所有可能签名者的私钥并具有无限的计算能力， 他能确定出某成员参与了门限环签名者的概率也不超过t／n。不可伪造性：外部攻 击者在不知道至少t个环成员私钥的情况下，不能成功伪造一个合法的门限环 签名。 目前的环签名方案有基于PKI和基于身份的。基于PKI公钥密码系统主要是 利用证书提供综合安全服务。该系统需要证书认证权威CA和复杂的证书管理机 制，增加了计算的复杂性，影响了签名的效率，不适用于分布式协同设计系统。 基于身份的密码体制是Shamir于1984提出的，它的公钥可以是每个人的姓名或者 e—mail地址，用户不再需要公钥证书，与传统的基于PKI的密码体制相比更安全 更有效。现存的基于身份的环签名方案很多，基于身份的公钥密码系统涉及到的 密钥托管问题，系统中需要一个公共可信任的密钥生成权威(简称为PKG：pri— vate keygenerator)，用于生成用户的私钥。我们将构造一个基于身份的门限环签 名方案，方案的数学基础是Gap群中双线性难解问题。 2预备知识 2．1 双线性对 本文主要分析用双线性对来实现基于身份的环签名方案。设G，、皖分别是阶 为q(为奇素数)的加法群和乘法群。在G。和G2中离散对数问题(DLP)是难解 的。 一个双线性对为e：Gl×G1_G2，并有性质： 1。双线性：e(x1+石2，y)=e(x1，Y)·e(戈2，y) e(戈，YI+Y2)=e(x，Y1)·e(戈，Y2) ·228· 一种基于身份的门限环签名 2．非退化性：存在P∈G。，使用e(P，P)≠l 3．可计算性：对P，Q∈G，，存在有